Фахівці з кібербезпеки виявили критичну вразливість у популярному VPN-клієнті Tunnelblick для операційної системи macOS, яка створює серйозні ризики для безпеки користувачів. Найбільш тривожним аспектом цієї загрози є те, що зловмисники можуть її експлуатувати навіть після видалення програми стандартним способом, що ставить під удар безпеку мільйонів користувачів по всьому світу.
Характеристика виявленої вразливості
Дослідник з компанії Positive Technologies Єгор Філатов ідентифікував уразливість, яка отримала номери CVE-2025-43711 та PT-2025-25226. За шкалою CVSS 3.1 загроза оцінена в 8,1 бала з 10 можливих, що відповідає критичному рівню небезпеки.
Вразливість впливає на широкий діапазон версій Tunnelblick – від 3.5beta06 до 6.1beta2, охоплюючи практично всі активні інсталяції цього популярного графічного інтерфейсу для OpenVPN. Це створює парадоксальну ситуацію, коли інструмент, призначений для захисту приватності користувачів, сам стає джерелом потенційної небезпеки.
Умови та механізм експлуатації загрози
Для успішного проведення атаки зловмисник повинен виконати дві основні умови. По-перше, необхідний доступ до облікового запису користувача з правами адміністрування macOS. Оскільки такі привілеї надаються за замовчуванням у більшості домашніх установок, ця умова виконується для переважної більшості користувачів.
Друга умова пов’язана зі специфікою процесу видалення програм у macOS. Багато користувачів звично перетягують застосунки до кошика, не усвідомлюючи, що системні компоненти залишаються активними. У випадку з Tunnelblick привілейований компонент зберігається в системі та стає потенційним вектором атаки.
Потенційні наслідки успішної атаки
Експлуатація цієї вразливості дозволяє атакуючому розмістити шкідливе програмне забезпечення, яке автоматично отримує підвищені привілеї під час наступного запуску системи. Це надає зловмисникам можливість:
• Встановлювати додаткове шкідливе ПЗ з розширеними правами
• Викрадати конфіденційну інформацію та особисті дані
• Модифікувати критичні системні налаштування
• Створювати приховані канали для постійного доступу до системи
Рекомендації щодо усунення загрози
Розробники Tunnelblick оперативно відреагували на повідомлення про вразливість та випустили виправлені версії програми. Експерти настійно рекомендують негайно оновитися до версії 7.0, 7.1beta01 або новішої для повного усунення загрози безпеці.
Тимчасові заходи захисту
Користувачам, які з технічних причин не можуть одразу встановити оновлення, фахівці пропонують наступні захисні заходи:
• Утримуватися від видалення файлу Tunnelblick.app з директорії /Applications
• Працювати під обліковим записом звичайного користувача без адміністративних привілеїв
• При необхідності видалення вручну очистити файл /Library/LaunchDaemons/net.tunnelblick.tunnelblick.tunnelblickd.plist
Коректна процедура видалення Tunnelblick
Для безпечного видалення Tunnelblick користувачам слід застосовувати вбудований деінсталятор. Процедура передбачає відкриття вікна “Деталі VPN”, перехід до панелі “Утиліти” та використання кнопки “Видалити”. Якщо вбудований інструмент недоступний, рекомендується застосування спеціалізованих програм-деінсталяторів.
Цей інцидент яскраво демонструє критичну важливість правильного управління програмним забезпеченням в операційних системах та необхідність постійного моніторингу безпеки навіть у застосунках, призначених для захисту. Користувачам варто не лише своєчасно встановлювати оновлення безпеки, але й приділяти увагу коректним процедурам видалення програм для підтримання належного рівня захисту своїх систем.
